Absichern der ESXi-Verwaltungsschnittstellen

Die Sicherheit der ESXi-Verwaltungsschnittstelle ist entscheidend für den Schutz vor unbefugtem Eindringen und Missbrauch. Wenn ein Host auf irgendeine Art und Weise manipuliert wurde, wurden die virtuellen Maschinen, mit denen er interagiert, möglicherweise ebenfalls manipuliert. Um das Risiko eines Angriffs über die Verwertungsschnittstelle möglichst gering zu halten, ist ESXi durch eine integrierte Firewall geschützt.

Um den Host gegen unbefugten Zugriff und Missbrauch abzusichern, werden von VMware Beschränkungen für mehrere Parameter, Einstellungen und Aktivitäten auferlegt. Die Beschränkungen können gelockert werden, damit sie den Anforderungen der Konfiguration entsprechen, in diesem Fall müssen Sie jedoch Maßnahmen ergreifen, um das Netzwerk als Ganzes und die mit dem Host verbundenen Geräte zu schützen.

Berücksichtigen Sie bei der Bewertung der Hostsicherheit und -verwaltung die folgenden Empfehlungen.

Um die Sicherheit zu verbessern, schränken Sie den Benutzer Zugriff auf die Verwaltungsschnittstelle ein und setzen Sie Zugriffssicherheitsrichtlinien wie beispielsweise Kennwortbeschränkungen durch.
Gewähren Sie nur vertrauenswürdigen Benutzern Anmeldezugriff auf die ESXi Shell. Die ESXi Shell hat privilegierten Zugriff auf bestimmte Teile des Hosts.
Führen Sie nach Möglichkeit nur die wesentlichen Prozesse, Dienste und Agenten wie Virenprüfungen und Sicherungen von virtuellen Maschinen aus.
Verwenden Sie nach Möglichkeit den vSphere Web Client oder das Netzwerkverwaltungstool eines Drittanbieter zur Verwaltung von ESXi-Hosts, anstatt als Root-Benutzer über die Befehlszeilen Schnittstelle zu arbeiten. Bei Verwendung des vSphere Web Client stellen Sie die Verbindung zu einem ESXiHost immer über ein vCenter Server-System her.

Der Host führt eine Vielzahl von Drittanbieterpaketen aus, um Verwaltungsschnittstellen oder von einem Operator durchzuführende Aufgaben zu unterstützen. Bei VMware dürfen diese Pakete nur über eine VMware-Quelle aktualisiert werden. Durch Verwendung eines Downloads oder eines Patchs aus einer anderen Quelle werden die Sicherheit oder die Funktionen der Verwaltung Schnittstelle möglicherweise beeinträchtigt. Überprüfen Sie die Internetseiten von Drittanbietern und die VMware-Wissensdatenbank regelmäßig auf Sicherheitswarnungen.

Neben der Implementierung der Firewall stehen weitere Methoden zur Verfügung, um die Risiken auf ESXi-Hosts zu verringern.

Achten Sie darauf, dass alle Firewall-Ports, die nicht speziell für den Verwaltungszugriff auf den Host notwendig sind, geschlossen sind. Wenn zusätzliche Dienste benötigt werden, müssen die Ports ausdrücklich geöffnet werden.
Ersetzen Sie die Standardzertifikate und aktivieren Sie keine schwachen Chiffren. Standardmäßig sind schwache Chiffres deaktiviert und die gesamte Kommunikation der Clients wird durch TLS gesichert. Die genauen Algorithmen, die zum Sichern des Kanals verwendet werden, hängen vom TLS-Handshake ab. Auf ESXi erstellte Standardzertifikate verwenden SHA-1 mit RSA-Verschlüsselung als Signaturalgorithmus.
Installieren Sie Sicherheits-Patches. VMware überwacht alle Sicherheitswarnungen, die die Sicherheit von ESXi beeinträchtigen könnten, und gibt, falls erforderlich, einen Sicherheits-Patch aus.
Unsichere Dienste wie z. B. FTP und Telnet sind nicht installiert und die Ports für diese Dienste sind geschlossen. Da sicherere Dienste wie SSH und SFTP leicht verfügbar sind, sollten Sie auf einen Einsatz der unsicheren Dienste zugunsten der sichereren Alternativen stets verzichten. Wenn Sie unsichere Dienste verwenden müssen, implementieren Sie einen ausreichenden Schutz für die ESXi-Hosts und öffnen Sie die entsprechenden Ports.

Sie können ESXi-Hosts in den Sperrmodus versetzen. Bei aktiviertem Sperrmodus kann der Host lediglich über vCenter Server verwaltet werden. Außer dem vpxuser verfügt kein anderer Benutzer über Authentifizierungsberechtigungen, und Direktverbindungen zum Host werden abgelehnt.